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摘 要 : PRIDE 和 RoadRunneR 是 近 几 年 提出 的 两 种 轻 量 组 密码 算法 ， 在 2016 亚 密会 上 ， 向 泽 军 等 提出 利用 基 

于 比特 可 分 性 的 MILP (混合 整数 线 ee pis 利用 该 思想 , 针对 两 种 不 同类 型 的 轻 量 级 分 组 密码 算 

法 ， 为 了 评估 该 算法 积分 性 质 ， 验 证 新 方法 的 实用 性 ， 根 据 其 不 同 密码 算法 结构 分 别 建立 MILP 模型 ， 利 用 Gurobi 优 
器 求解 此 模型 ， 搜 索 可 用 的 积分 区 分 器 。 结 果 分 别 得 到 9 轮 和 5 轮 的 积分 区 分 器 ， 是 PRIDE 和 RoadRunneR 目前 已 

知 最 长 的 积分 区 分 器 ， 利 用 该 区 分 器 可 进行 更 多 轮 的 积分 攻击 。 
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Integral distinguisher search of PRIDE and RoadRunneR based on bit-based division property 


Li Yanjun, Zhao Jingming 
(Dept. of Information Security, Beijing Electronic Science & Technology Institute, Beijing 100070, China) 


Abstract: PRIDE and RoadRunneR are two lightweight block ciphers proposed in recent years. At 2016 ASIACRYPT, Xiang 
Zejun proposed using MILP (mixed integer linear programming) model based on bit-based division to search integral 
distinguisher. This paper applies this idea to two lightweight block cipher that two different types of algorithms. In order to 
evaluate their integral properties, MILP models are built according to their different structures, and the useful integral 
distinguisher can be searched by using Gurobi optimizer to solve this model. Results, 9 rounds and $ rounds of integral 
distinguisher are obtained respectively, which is the longest integral distinguisher of PRIDE and RoadRunneR . More rounds of 
integral attack can be made by using the distinguisher. 
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1 ”相关 工作 中 , ,, 蕊 , 荆 的 具体 矩阵 以 及 PRIDE 的 其 他 信息 详 见 文献 [1]。 
1.1 PRIDE 和 RoadRunneR 算法 简介 . 
PRIDE 算法 是 Albrecht 等 人 在 2014 美 密会 上 提出 的 分 组 人 
长 度 为 64 bit， 密 钥 长 度 为 128 bit 的 SPN 结构 轻 量 级 分 组 密码 T 
算法 ， 共 迭代 20 轮 。64 bit 的 轮 函 数 输入 被 分 为 16 个 半 字 节 1 R 
(Nibble)， 与 轮 密 钥 做 异 或 运算 ， 然 后 分 别 并 行进 入 S 层 ， 即 并 上 Lb 加 和 Eb 
16 个 相同 的 S$ 盒 〈 见 表 1)， 最 后 经 过 线性 层 ， 有 具体 的 轮 函 
数 如 图 1 所 示 。 | 
表 1 PRIDE 算法 S 盒 
Table 1 Sbox of PRIDE algorithm 图 1 PRIDE 算法 示意 图 
xX 0 1 2 3 4 56 7 8 9 a bec d ef Fig.1 Schematic diagram of PRIDE algorithm 
SIx] 0 4 8 f 1 5 ee 9 2 7 a c bd 6 3 轻 量 级 分 组 密码 算法 RoadRunneR 在 2015 年 提出 。 总 体 采 
PRIDE 的 线性 层 L 可 以 被 分 成 3 个 子 层 ， 比 特 置换 层 P， ”用 了 Feistel 结构 ， 轮 函数 采用 SPN 结构 。 分 组 长 度 64 比特 ， 


矩阵 层 M, 道 比 特 置 换 层 P-1.M 为 一 个 64X64 的 矩阵 ， 由 四 个 密 钥 长 度 为 80/128 bit， 分 别 迭 代 10/12 轮 。 轮 函数 F 由 4 轮 的 
16X16 的 矩阵 ,5, 芒 , 荆 构成 ;P 了 为 64 位 的 比特 置换 操作 。 其 SPN 函数 构成 ， 即 3 个 SLK 函数 加 1 个 S 层 ，S 盒 见 表 0-2。 
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S\、 工 和 KK 分别 代表 S 层 , L 层 和 轮 密 钥 加 层 。 具体 的 算法 结构 
和 轮 函数 见 图 2, 图 中 左边 为 算法 整体 Feistel 结构 ,右上 为 SPN 
型 轮 函数 F， 右 下 为 SLK 函数 。 

表 2 RoadRunneR 算法 S 盒 


Table 2 S box of RoadRunneR algorithm 
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图 2 ”RoadRunner 算法 示意 图 


Fig.2 Schematic diagram of RoadRunner algorithm 
RoadRunneR 线性 变换 层 可 表 示 为 
LW)=(X)@(x<<<]D)@(x<<<2) ,其 中 x<<<1 表 示 字 节 x 向 左 
循环 移 位 1 比特 。L(x) 用 8X8 矩阵 可 表示 为 


10000011 

1 10 .00001 

1 1 10000 0 

a 0 1 1 1000 0 

00 1 1 100 0 

000 1 1 10 0 

0000 1 1 1 0 
00000111 

RoadRunneR 算法 的 其 他 信息 详 见 文献 [2] 


1.2 基于 比特 可 分 性 的 MILP 模型 

可 分 性 是 Todo 在 2015 欧 密 会 上 提出 的 推广 了 的 积分 性 质 
B], 在 FSE2016 上 Todo 和 Morri 又 提出 了 比特 可 分 性 加， 同时 
利用 比特 可 分 性 找到 了 SIMON32 的 一 个 14 轮 积 分 区 分 器 。 在 
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包括 穿 过 替换 层 以 及 扩散 层 。 目 前 ， 对 $ 盒 可 分 路 径 的 表示 方 
法 已经 比较 完善 ， 而 对 线性 层 的 可 分 路 径 表示 方法 还 在 进一步 
研究 中 四。 最 后 ,选择 合适 的 目标 函数 ， 即 搜索 终止 条 件 , 对 是 
否 存在 可 用 的 积分 区 分 器 进行 搜索 。 


2 ”预备 知识 


2.1 符号 

令 瑟 表示 二 元 有 限 域 ， 梧 表示 在 也 上 的 n 比特 的 序列 。 
令 马 和 分别 表 示 整 数 环 和 na 维 整 数 向 量 集合 。 对 任意 的 
a eB ,ali] 表示 a 的 第 i 个 元 素 ，w(a) 表示 汉 明 重量 ， 其 计算 
公式 为 a(q0…,a i)eB?x…x”™” ， 对 任意 的 向 量 


a=(ao.…a 1) eB xx ， 向 量 a 的 汉 明 重量 定义 为 
W(a)=(wa)…w(4i) ， 再 令 AD 和 
凶 =( ,三 1 ) 分 别 为 Z" 上 的 两 个 向 量 。 定 义 k ke" 成 立 
当 且 仅 当 向 量 中 所 有 对 应 分 量 厂 > 后 ,其 中 i=0,1,…,m 一 1; 耕 则 
K 关 jc 。 

比特 乘积 函数 亏 C0 和 mu00 ， 令 元 CD 是 一 个 从 枉 到 可 


的 函数 ， 对 于 任意 的 ue 到 ,使 得 xs 了 互 是 元 的 输入 ， 
义 式 如 下 : 


Tu() 定 


Ml 
A,(x) = > x 
i=0 


x 也 "到 羽 的 函数 ， 对 于 所 有 的 


令 太 00 是 一 个 "x 


Ue EF” a Na 任 意 的 U=(uo,: :4 ， 
)X(Xo TD) E(B x…x 胎 ") ,定义 式 如 下 : 


T,00 = Sr, 0) 
2.2 可 分 性 与 可 分 路 径 
定义 1 可 分 性 。 令 入 为 多 重 集合 , 其 元 素 取 值 于 (外)”， 
k 是 一 个 m 维 向 量 且 每 个 分 量 取 值 于 0 到 n ， 当 尺 满 足 可 分 


性 Drew KD .KG9-0 » 需 满 足以 下 条 件 : 


对 和 中 的 任意 一 元 素 x ， 


T,X) 的 奇偶 性 始终 为 偶 ， 当 
Us DEC 可 WOOD 关 KO pwIW(OD 关 Ke 
定义 2 可 分 路 径 。 令 十 表示 一 个 分 组 密码 的 轮 函数 ， 假 


设 分 组 密码 的 初始 输入 可 分 性 为 Dx”， 再 令 经 过 了 轮 传 播 后 的 


2016 亚 密会 上 ， 向 泽 军 等 人 提出 了 基于 比特 可 分 性 ， 利 用 
MILP 模型 搜索 积分 区 分 器 的 方法 四。 克服 了 直接 用 比特 可 分 性 
搜索 区 分 器 时 ， 花 费 巨大 时 间 和 空间 开销 的 问题 。 他 们 通过 选 
择 合 适 的 目标 函数 ， 准 确 地 表示 可 分 性 的 传播 ， 分 析 了 6 种 具 
有 比特 置换 扩散 层 的 分 组 密码 ， 但 搜索 扩散 层 为 非 比 特 置换 的 
算法 成 为 一 个 遗留 的 问题 。 孙 玲 等 提出 了 解决 这 一 问题 的 方法 ， 
通过 引入 一 些 中 间 变 量 ， 针 对 一 个 n 比特 输入 的 线性 层 ， 建 立 
2n 个 线性 不 等 式 来 表示 穿 过 线性 层 的 可 分 路 径 口 。 

利用 基于 比特 可 分 性 的 MILP 模型 搜索 积分 区 分 器 的 总 体 
步骤 是 : 首先 ， 给 出 初始 比特 可 分 性 ， 即 指定 具体 的 活跃 比特 
和 非 活跃 比特 ; 其 次 ,建立 表示 穿 过 轮 函数 的 可 分 路 径 的 模型 ， 


可 分 性 为 Dg” ， 则 可 以 得 到 以 下 的 可 分 性 传播 链 : 


def 在 f: 


{k}=>K, KK, —>… 


对 任意 在 gp 中 的 向 量 6 ， 必 然 存在 在 &,, 中 的 向 量 
ki 1 与 之 对 应 ， 可 以 说 ki 能 通过 可 分 性 传播 规则 传播 至 有 ， 
把 它 推广 到 更 多 维 , 记 (6,K…, 有,) e 区 ox 区, x…x 区 , ， 若 对 于 
所 有 的 ie{1,2,…r} ,ki ， 能 传播 至 ki ,本 文 称 (Ko,h,…,k,) 为 一 
个 + 轮 的 可 分 路 径 . 

2.3 比特 可 分 性 传播 规则 与 模型 化 
Todo 证 明了 传统 可 分 性 的 传播 规则 中 ， 并 把 这 些 传播 规则 


总 结 在 外 中 ， 


分 别 是 代替 , 拷贝 , 异 或 , 分 裂 , 合 


五 种 操作 的 
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Tt 


传播 规则 。 
播 规则 。 而 对 于 S 盒 ， 
更 加 细致 地 研究 ， 


在 比特 可 分 性 中 ， 只 用 到 其 中 拷贝 和 异 或 操作 的 传 
即 代替 操作 的 比特 可 分 性 传播 规则 需要 
900 研究 了 这 一 问题 。 在 四 中 算法 2 给 出 了 
计算 穿 过 S 盒 的 比特 可 分 性 传播 的 通用 算法 。 
规则 1 拷贝 。 令 下 为 一 个 拷贝 函数 ， 其 输入 x 取 值 于 
了 ， 输 出 可 表示 为 (30;71)=(%,D. 令 入 和 分 别 为 对 应 的 输 
入 和 输出 集合 ， 假 设 和 满足 可 分 性 Di , 则 了 满足 可 分 性 Dg”. 
传播 过 程 只 有 两 种 可 能 情况 。 
ee 
k=1—> 区 ={(0,1),(1,0)} 

规则 2 ” 异 或 压缩 。 令 下 为 一 个 异 或 压缩 函数 ， 其 输入 
(xo;1) 取 值 于 互 x 互 ， 输 出 可 表示 为 y=Xo 四 %, 令 入 入 分 别 
为 对 应 的 输入 和 输出 集合 ， 假 设 和 满足 可 分 性 De , 则 于 满足 
可 分 性 Dk .传播 过 程 只 有 四 种 可 能 情况 。 
k=(0,0) —>K={(0)} 
k=(0,D) — K={()} 
k=(,0) >K={(D} 
k=Ud,D—>K=$ 

规则 3 与 压缩 。 令 下 为 一 个 与 压缩 函数 ， 其 输入 (Xo0,*) 
取 值 于 瑟 x 了 瑟 ， 输 出 可 表示 为 y=Xo 信 %, 令 入 和 六 分 别 为 对 应 
的 输入 和 输出 集合 ， 假 设 和 满足 可 分 性 De" , 则 立 满 足 可 分 性 
Dr .传播 过 程 只 有 四 种 可 能 情况 。 
k=(0,0) > K={(0)} 
k=(0,D =>K={(D} 
k=(1,0) — K={()} 
k=(,D > K={(D} 


Ee 


下 面 简要 地 说 明 用 线性 
可 分 性 传播 的 建 模 过 程 


` 等 式 组 对 拷贝 ， 与 ， 异 或 操作 的 


模型 1 拷贝 。 记 (a) 必 (b,,b) 是 拷贝 函数 的 一 条 可 分 路 


径 ， 则 下 列 不 等 式 组 可 准确 表示 拷贝 操作 的 可 分 性 传播 。 


a—b,—b=0 
a,bo,b 是 二 进 制 数 


模型 2 与 。 记 (a,,a) 作 (5) 是 比特 与 函数 的 一 条 可 分 路 


径 ， 则 下 列 不 等 式 组 可 准确 表示 比特 与 操作 的 可 分 性 传播 。 


b—-a,>0 

b-a2>0 
b-a,—-a2>0 
aa,b 是 二 进 制 数 


模型 3 异 或 。 记 (a,a) 必 (bp) 是 比特 异 或 函数 的 一 条 可 分 


路 径 , 则 下 列 不 等 式 组 可 准确 表示 比特 
J —b=0 
lo, di, b 是 二 进 制 数 


模型 化 S 盒 对 于 S 盒 的 传播 ， 向 泽 军 等 给 出 计算 穿 过 $ 


异 或 操作 的 可 分 性 传播 。 


等 : 基于 比特 可 分 性 的 PRIDE 和 RoadRunneR 积分 区 分 器 搜索 


一 
ED ] 


inaXiv 合 作 期 刊 
门 GAN 明和 
ea 期 


如 


的 比特 可 分 性 传播 过 
Inequality_generator() 函 数 ， 
线性 不 等 式 还 可 以 通 
2.4 目标 函数 

若 一 个 集合 和 满足 可 分 性 DX, X 不 存在 积分 性 质 当 上 且 仅 
当 区 包含 所 有 的 n 个 单位 向 量 。 记 经 过 i 轮 加 密 后 的 输出 可 分 
性 为 Dg ,若是 第 一 次 出 现 包含 了 所 有 的 n 个 单位 向 量 ,可 分 
性 的 传播 终止 ,这样 得 到 了 一 个 + 轮 区 分 器 。 判断 是 否 存在 x1 
轮 区 分 器 ， 只 需 检测 x, 是 否 包含 全 部 的 单位 向 量 ， 因 此 设 定 目 
标 函 数 : 


程 四 。 然 后 通过 Sage 软件 中 的 
函数 返回 一 组 线性 不 等 式 ， 这 组 


ee 式 个 数 四 。 


Obj:Min{ay +a +…+a 1} 


其 中 : ao ,0 ,…,4 1 是 一 个 任意 + 轮 可 分 路 径 的 最 后 一 个 向 量 。 


3 PRIDE 的 MILP 模型 


在 可 分 性 的 传播 过 程 中 ， 与 常数 异 或 不 改变 可 分 性 ， 即 轮 
密 钥 加 不 会 影响 可 分 性 的 传播 ， 因 此 只 考虑 $ 盒 和 线性 扩散 层 


对 可 分 性 传播 的 影响 。 
3.1 S 层 的 线性 不 等 式 表 示 

PRIDE 的 S 层 由 16 个 相同 的 S 盒 并 置 而 成 ， 首 先 研 究 穿 
过 S 盒 的 可 分 路 径 。 令 S 盒 的 输入 为 X=(%, 妨 ,为 ) ， 对 应 输 
出 为 Y(0y 2) , 则 S 盒 的 代数 规范 式 (ANF ) 表示 如 下 : 


=% DHN DXAX BAXN 


y=% DNN BAD BALN DADN 


= Nh DN 


为 三 为 针 友 为 
应 用 算法 2 计算 穿 过 S 盒 的 可 分 路 径 ， 可 得 到 总 共 44 条 
可 分 路 径 ， 如 表 3 所 示 。 
表 3 PRIDE 的 $S 盒 可 分 路 径 
Table3 Sbox divisible path of PRIDE 


输入 Dk 输出 DR 

(0,0,0,0) (0,0,0,0) 

(0,0,0,1) (0,0,0,1) (0,0,1,0) (0,1,0,0) 
(0,0,1,0) (0,0,0,1) (0,0,1,0) (0,1,0,0) (1,0,0,0) 
(0,0,1,1) (0,0,0,1) (0,0,1,0) (1,1,0,0) 
(0,1,0,0) (0,0,0,1) (0,0,1,0) (0,1,0,0) (1,0,0,0) 
(0,1,0,1) (0,0,0,1) (0,0,1,0) (1,1,0,0) 
(0,1,1,0) (0,0,0,1) (0,0,1,0) (0,1,0,0) 
(0,1,1,1) (0,0,1,1) (1,1,0,1) 

(1,0,0,0) (0,0,0,1) (0,0,1,0) (1,0,0,0) 
(1,0,0,1) (0,0,0,1) (0,0,1,0) (1,1,0,0) 
(1,0,1,0) (0,0,1,0) (1,0,0,1) (1,1,0,0) 
(1,0,1,1) (1,0,0,1) (1,1,1,0) 

(1,1,0,0) (0,0,0,1) (0,0,1,0) (1,0,0,0) 
(1,1,0,1) (0,0,0,1) (0,0,1,0) (1,1,0,0) 
(1,1,1,0) (0,0,1,0) (1,0,0,1) (1,1,0,0) 


(1,1,1,1) (1,1,1,1) 
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利用 Sage 软件 中 的 Inequality_generatorO 函 数 , 共 返 


I 


110 


\ 等 式 表示 这 44 条 可 分 路 径 ， 再 通过 不 等 式 缩减 算法 


把 此 组 不 等 式 个 数 缩减 为 11 个 ， 记 (qosa ,ya) Sb bb,,b,) 


构成 ， 分 别 为 4,L, 世 ,三 . 现 以 六 为 例 ， 
等 式 组 ， Ba 车 过 程 类 似 。 
假设 穿 过 和 矩 5 的 输入 集 
Xs) .从 五 的 第 一 列 看 出 ， 
被 拷贝 的 值 又 在 不 同 的 行 和 其 他 被 找 贝 的 进行 异 或 ， 
xsSiS15) 和 罗 的 操作 类 似 。 


[OUI 


X=(%, 加 


科 


表示 一 条 穿 过 S 盒 的 可 分 路 径 ， 则 它 的 线性 不 等 式 必 表示 如 
下 : 
aotaita, +as-b-b.-b,-by >0 
-do+3b,-2b-b,-b,+2>0 
-4 —a,—2a;+b, +2b,+3b,-3b;>0 
2a0taita,-3by +b-2b,-2b; +2>0 
—ai-bo-b, +b; +2>0 
-2au —2a, —as+2b-bi+b,+3>0 
S|a, tas-b-bi-by +1>0 
—ao—a-bo +h+b+2>0 
aot+2a3-bo-bi-b,-bs +1>0 
a—-a-bot+b+2>0 
—ao +b, +b, +b,>0 
4,b 为 二 进 制 数 
对 整个 S 层 的 可 分 路 径 线性 不 等 式 表 示 , 可 直接 把 16 个 4 
维 输入 向 量 并 置 ， 输 出 同样 为 16 个 4 维 向 量 。 综 上 ， 记 
Ss EY 广 二 - 
(Co X77 Xo) 一 人 (70 763) 为 穿 过 S 层 的 一 条 可 分 路 径 。 若 
给 出 一 个 S 层 输入 集合 满足 可 分 性 Dk ”， 则 穿 过 S 层 后 输出 
满足 可 分 性 Dx”. 
3.2 ”线性 层 的 线性 不 等 式 表示 
利用 MILP 模型 为 搜索 更 复杂 线性 层 的 算法 成 为 一 个 遗留 
的 问题 ， 可 以 引入 一 些 中 间 变 量 解决 这 个 问题 : 任何 线性 矩阵 
居 ， 都 可 以 分 割 为 拷贝 和 蜡 或 这 两 个 操作 外。 
PRIDE 的 64x64 矩阵 层 由 四 个 16x16 小 矩阵 呈 对 角 线 排列 


得 出 关于 5 的 线性 不 


合 满足 可 分 性 Dx ”， 其 中 
加 被 拷贝 了 5 次 ， 


这 些 


余 的 


在 中 共有 48 个 非 零 元 素 ， 通 过 引入 中 间 变 量 6 ~ty， 
转换 为 如 下 形式 : 

0000 1 00 0 00 04 0 .00 
0000 0410 0 0 0 0 0%, 0 
0000 0 0 0 0 0 0 0 0 1, 0 
0000 0004 0 4 0 0 1s 
hh000 0000 &, 0 .01 0 0 0 
0 和 00 0000 04 00 041 00 
00#0 0000 001 0 0 0 4 0 
0001 0000 00 0 0 0 0 4 
1t0001 00 0 0000 1 00 0 
0t00 010 0 0000 0 0 0 
000 和 000mn0 0000 00¢1, 0 
0001 00 0 0000 00 0 高 
hb000t 00041 000 0000 
0#00 010 0 04, 00 0000 
00f 0 0 0 00 0 4, 0000 
0001 0 0 04, 0 0 04 0000 

为 了 描述 所 有 的 拷贝 操作 , 生成 以 下 16 个 线性 不 等 式 : 
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to-ti-ts =0 
Xta-ty-ts =0 
-tet-ts =0 


Xto-tio-tn =0 
Xs-tistis-tis =0 

Xs-tis-tie-tiy = 0 
Xetis-tio-t2o =0 
Xtyity -ty =0 
(D1 x-ty-ts-tae =0 
为 -trtzs-tzo =0 


t=0 


Ni-ta-ta-tss =0 


Xio-ts0-ta1- 


Xtse-tar-tas =0 


Xa-tag-tao-ta =0 
Mata-ta-ta =0 
Xs-tas-tao-tar =0 


x,t 为 二 进 制 数 


另 一 方面 ，x; 的 拷贝 比特 需要 和 相关 的 输出 比特 异 或 。 记 
(xos ,6s) (yo,y,.…y,) 是 穿 过 荆 的 一 条 可 分 路 径 ， 可 以 
看 出 ， 在 同一 行 的 变量 和 需要 异 或 的 变量 是 相同 的 。 为 了 描述 
所 有 的 异 或 操作 ， 生 成 以 下 16 个 线性 不 等 式 : 


tisttyttae-yo = 0 
05+tz+tao- =0 
tisttaotta -ys =0 
ti+ta+ti- =0 
tottssttay-y4 =0 
tattysttao-ys =0 
tettatta-ye =0 
tottssttae-y =0 
(2 


5 


tittiattas-ys =0 

tyttietta-ys =0 

t+tio+ta-yo =0 
tiott»+tay-y11 = 0 
t,ttiattye-y1s =0 
t5+ty+tzo-y3 =0 
ts+t2o+ta-y4 =0 
t+tz+tas-ys =0 


yt 为 二 进 制 数 


为 了 得 到 穿 过 的 可 


式 组 (1)(2) 


类 似 + 
径 


分 另 


(X32 03， 


间 变 量 分 别 表示 为 Lis ~iys, loo~ 
分 另 


规则 ， 


分 路 径 , 仅 需 要 把 以 上 两 组 线性 不 等 
联合 起 来 成 为 一 个 线性 不 等 式 组 有 。 


五 
己 ， 对 穿 过 入 一 (op 的 可 分 路 


X16, 207， 


(Kies Xs I Ve V7 1) ， 


b a 
Xa ) 一 (32，》33， Ya7) ，(X48，X49， Xe3) (Ys8» ya9s**» ye3) 了 


fa ，14 ~tio1. 按 照 以 上 的 传播 
不 等 式 组 £6,b,L。 


I 生成 对 应 的 线性 


| | 上 门下 
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综 上 ， 记 (xwzx 人 Own) 为 穿 过 线性 矩阵 层 ”把 此 组 不 等 式 个 数 缩减 为 10 个 ， 记 (aa asa) (by,b,b,b) 


的 一 条 可 分 路 径 。 若 给 出 一 个 线性 层 输入 人 
Di“ ， 则 穿 过 线性 层 后 输出 满足 可 分 性 De ， 
得 到 了 穿 过 S 层 和 工 层 的 可 分 路 径 线性 不 等 式 组 表示 , 结 。 下 : 


合 满足 可 分 性 


FE 


表示 一 条 穿 过 S 盒 的 可 分 路 径 ， 则 它 的 线性 不 等 式 所 ,表示 如 


合 起 来 便 得 到 轮 函 数 的 可 分 路 径 , 重复 轮 函 数 T 次 , 即 得 到 r 轮 as+taitas+as-b,-bi-b,-b, >0 

的 可 分 路 径 。 -4a0-3a1-a,-2as+2b,-b+b,+3b,+5>0 
-2a0-4a.-3a,-as+b,+2b,+3b,-b,+5>0 

4 RoadRunneR 的 MILP 模型 34.-2b,-b-b,-b,+2>0 


2a0-b-b,-by +1>0 
Ls:1—2a0 —al—a,+3b, +2b +2b,+b;>0 
—ao —2a-2a3-bo +bi+bs+4>0 


RoadRunner 算法 总 体 采 用 Feistel 结构 ， 包 含 拷贝 和 异 或 
操作 ， 根 据 1 中 提 到 的 方法 对 这 两 种 操作 建 模 。 轮 函数 比较 复 


杂 ， 但 总 体 来 看 ， 依 然 是 S 层 和 线性 扩散 层 构成 ， 类 似 于 2 中 0 
的 步骤 对 其 建 模 。 -as+h +b,+b,>0 
RoadRunner 算法 的 第 一 轮 和 最 后 一 轮 采 用 了 白化 密 钥 , 且 aitas-bo-b,-by +1>0 
一 轮 加 入 了 轮 常量 异 或 运算 ， 但 由 于 与 常数 异 或 不 改变 可 分 ob 
人 综 上 , 记 (x_ xx ) 0 ,yy ) 为 穿 过 S 层 的 一 条 可 
4.1 S 层 的 线性 不 等 式 表示 人 
EA RoadRunner 的 S 层 由 8 个 相同 的 S 盒 并 置 而 成 ， 令 S 盒 ”分 路 径 。 若 给 出 一 个 S 层 输入 集合 满足 可 分 性 D! ”, 则 穿 过 S 
的 输入 为 他 Co, 交 ) ， 对 应 输出 为 y=(%, 力 ,31,70) , 则 S 盒 层 后 输出 满足 可 分 性 2 . 
的 代数 规范 式 (ANF ) 表示 如 下 : 4.2 ”线性 层 的 线性 不 等 式 表示 
二 六 二 和 四 xf RoadRunneR 的 和 珑 阵 层 由 四 个 相同 的 8x8 矩阵 并 置 构成 ， 
y= DHN BND DN DNAND 以 下 得 出 关于 工 的 线性 不 等 式 组 。 
二 和 图 加 四 加 图 假设 穿 过 矩阵 工 的 输入 集合 满足 可 分 性 D,”， 其 中 
为人 Oh OHA X=(20,3,… 力 ). 在 工 中 共有 24 个 非 零 元 素 ， 通过 引入 中 间 变 


应 用 算法 2， 可 得 到 总 共 43 条 可 分 路 径 ， 如 表 4 所 示 。 


二 


0o~1w,L 转换 为 如 下 形式 : 


表 4 RoadRunneR 的 S 盒 可 分 路 径 VD 0 0 0 
Table 4 Sbox divisible path of RoadRunneR tt 00 00 0 tb 
输入 Dr 输 册 Dt t,t to。 0 00 0 0 
人 二 0 ts t,t。 00 0 0 
00t tt 0 0 0 
(0,0,0,1) (0,0,0,1) (0,0,1,0) (1,0,0,0) 000¢t, t, ti 0 0 
(0,0,1,0) (0,0,0,1) (0,0,1,0) (0,1,0,0) (1,0,0,0) 000 0 tt ti 0 
(0,0,1,1) (0,0,0,1) (0,0,1,0) (1,0,0,0) 000 0 0 ty, to ta 
(0,1,0,0) (0,0,0,1) (0,0,1,0) (0,1,0,0) (1,0,0,0) 为 了 描述 工 中 所 有 的 拷贝 操作 ,生成 以 下 8 个 线性 不 等 式 : 
(0,1,0,1) (0,0,1,0) (1,0,0,1) (1,1,0,0) Xto ti-t, = 0 
(0,1,1,0) (0,0,1,0) (0,1,0,0) da 
(0,1,1,1) (0,0,1,0) (1,1,0,0) Xs te ts ts = 0 
(1,0,0,0) (0,0,1,0) (0,1,0,0) (1,0,0,0) yy hg 0 
(1) Xa ts ts ty 0 
(1,0,0,1) (0,0,1,0) (0,1,0,1) (1,0,0,0) Xtis tio ti = 0 
(1,0,1,0) (0,0,1,1) (0,1,0,1) (0,1,1,0) (1,0,0,0) 和 
(1,0,1,1) (0,0,1,1) (0,1,0,1) (1,0,0,0) Xt ty ts = 0 
(1,1,0,0) (0,0,1,1) (0,1,0,1) (1,0,0,0) ,为 二 进 制 数 
(1,1,0,1) (0,0,1,1) (1,1,0,1) 、 
(1,1,1,0) (0,1,1,1) (1,0,1,0) pm 
(1,1,1,1) (1,1,1,1) 为 了 描述 L 所 有 的 异 或 操作 ， 生 成 以 下 8 个 线性 不 等 式 : 
利用 Sage 软件 中 的 Inequality generator() 函 数 , 共 返回 132 


个 线性 不 等 式 表示 这 43 条 可 分 路 径 ， 再 通过 不 等 式 缩减 算法 


1811.00137V1 


Es 
| 


录用 定稿 


(2) 4 tottiottis—y, = 0 
= 0 
-ys。 = 0 
tt tt sy = 0 


7 , 为 二 进 制 数 


> L 、 、 上 LAC 三 
综 上 , 记 (x0 ,0,…,61) 玉 (y0; 六 ,…, ) 为 穿 过 线性 矩阵 层 的 


一 条 可 分 路 径 。 若 给 出 一 个 线性 层 输 入 集合 满足 可 分 性 Dk ”， 
则 穿 过 线性 层 后 输出 满足 可 分 性 Dex”. 

得 到 了 穿 过 S 层 和 工 层 的 可 分 路 径 线性 不 等 式 组 表示 ， 结 
合 起 来 便 得 到 SLK 函数 的 可 分 路 径 。 结 合 三 个 SLK 函数 和 一 
个 S 层 ， 可 得 到 一 轮 函数 的 可 分 路 径 。 重 复 轮 函数 r 次 ， 即 得 
到 r 轮 的 可 分 路 径 。 


5 ”积分 区 分 器 搜索 


在 前 面 分 别 得 到 针对 PRIDE 和 RoadRunner 算法 完整 的 
MILP 模型 ,，L 为 约束 条 件 , Obj 为 目标 函数 ,根据 搜索 算法 [9， 

应 用 Gurobi 优化 器 求解 该 模型 ， 可 搜索 是 否 存在 T 轮 积分 区 分 
器 。 本 节 中 的 实验 数据 均 来 自 以 下 平台 : Intel R' CeleronGOCPU 
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63 比特 为 活跃 比特 , 经 过 9 轮 之 后 得 到 一 个 有 效 的 区 分 器 ， 区 
分 器 输出 的 最 右边 比特 为 平衡 比特 。 PRIDE 的 9 轮 区 分 器 可 表 
示 如 下 : 

输入 : 


(ccccaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaal) 


输出 : 


5.3 RoadRunneR 的 5 轮 积分 区 分 器 
若 选择 输入 的 初始 可 分 性 为 Doi ay , 即 选择 输入 的 右 
边 32 bit 均 为 活跃 比特 ， 左 边 18 比特 为 活跃 比特 ， 其 余 14 bit 
为 常数 ， 经 过 5 轮 之 后 得 到 一 个 有 效 的 区 分 器 ， 区 分 器 输出 的 
右边 32 bit 为 平衡 比特 .RoadRunner 的 5 轮 区 分 器 可 表示 如 
输入 : 


(cececccccccccccaaaaaaaaaaaaaaaaaa,aaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaaa) 
输出 : 
(222227222222227722222227272222272?,bbbbbbbbbbbbbbbbbbbb 
bbbbbbbbbbbb) 
同时 搜索 到 有 一 个 RoadRunneR 4 轮 区 分 器 ， 与 算法 设计 


者 在 原文 中 提出 的 4 轮 区 分 器 一 致 ， 可 证 明 利 用 该 方法 搜索 积 


1007U @1.50 GHz,4 GB RAM,64 bit Windows 7。 采 用 
程 实现 搜索 区 分 器 得 到 如 表 5 所 示 。 
表 5 搜索 的 积分 区 分 器 


Table5 Integral differentiator for Search 


Python 编 


密码 算法 分 组 长 度 ”区 分 器 轮 数 ”活跃 比特 平衡 比特 
4 16 64 
6 40 16 
PRIDE 64 
8 60 32 
9 63 1 
4 32 32 
RoadRunneR 64 
5 50 32 


5.1 PRIDE 的 8 轮 积分 区 分 器 

若 选择 输入 的 初始 可 分 性 为 Dy , 即 选择 输入 的 右边 
60 bit 为 活跃 比特 ， 其 余 4 bit 为 常数 ， 经 过 8 轮 之 后 得 到 一 个 
有 效 的 区 分 器 , 区 分 器 输出 的 右边 32 比特 为 平衡 比特 。 PRIDE 
的 8 轮 区 分 器 可 表示 如 下 : 

输入 : 


(ccccaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 


aaaaaaaaa) 


输出 : 


bbbbbbbbbbbb) 
5.2 PRIDE 的 9 轮 积 分 区 分 器 
若 选择 输入 的 初始 可 分 性 为 Dr , 即 选择 输入 的 右边 


分 区 分 器 结果 的 正确 性 。 


6 ”结束 语 


前 有 人 对 PRIDE 算法 做 过 了 差分 分 析 和 线性 分 析 031014， 
但 PRIDE 算法 的 积分 分 析 还 没有 人 研究 。RoadRunneR 算法 在 
设计 者 的 原文 章 中 提出 有 一 个 4 轮 区 分 器 。 本 文 利用 基于 比特 
可 分 性 的 MILP 模型 搜索 PRIDE 算法 的 积分 区 分 器 ， 得 到 了 9 
轮 区 分 器 , 该 区 分 器 是 目前 对 PRIDE 算法 最 长 积分 区 分 器 。 应 
用 此 方法 搜索 RoadRunneR 算法 的 积分 区 分 器 ， 得 到 了 5 轮 区 
分 器 ， 对 比 设计 者 的 区 分 器 提升 了 一 轮 。 可 以 看 出 无 论 Feistel 
还 是 SPN 型 的 分 组 密码 ， 对 比 传统 寻找 区 分 器 的 方法 ， 应 用 该 
技术 均 可 以 搜索 出 较为 理想 的 积分 区 分 器 。 

利用 以 上 方法 得 到 了 目前 已 知 的 最 长 积分 区 分 器 ， 可 对 这 
两 种 密码 算法 进行 目前 已 知 最 多 轮 的 积分 攻击 。 例 如 对 于 
PRIDE 的 8 轮 区 分 器 ， 向 后 扩展 两 轮 可 进行 10 轮 攻 击 ， 根 据 
相关 密 钥 恢复 的 方法 与 技术 ， 恢 复 相应 的 密 钥 。 
晶 是 增加 积分 区 分 器 长 度 的 同时 会 增加 选择 明文 数量 ， 这 
样 在 整个 攻击 过 程 中 的 数据 复杂 度 并 不 会 有 显著 的 降低 。 例 如 
搜索 PRIDE 算法 得 到 的 9 轮 区 分 器 , 需要 选择 明文 数 为 22 个 。 
因此 对 于 同样 轮 数 长 度 的 区 分 器 ， 降 低 选 择 明 文 数 量 是 寻找 区 
分 器 的 难点 。 从 当前 研究 来 看 ， 利 用 比特 可 分 性 搜索 到 的 积 
区 分 器 在 大 多 数 情况 是 最 优 的 区 分 器 ， 但 并 不 能 说 一 定 是 最 优 
的 区 分 器 ， 这 关系 到 可 分 性 传播 过 程 的 模型 化 表示 方法 的 准确 
性 ， 也 是 下 一 步 研究 的 主要 方向 。 


= 
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随 着 对 比特 可 分 性 和 自动 化 搜索 区 分 器 的 研究 进行 ， 结 合 
数学 模型 和 优化 软件 提高 了 搜索 的 效率 ， 大 大 改进 了 寻找 积分 
区 分 器 的 方法 ， 因 而 对 积分 分 析 也 有 了 很 大 的 推进 ， 而 且 基 于 
比特 可 分 性 搜索 区 分 器 还 有 很 大 的 潜力 可 控 ， 本 文 也 是 对 这 一 
方法 的 研究 和 应 用 。 
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